Expert zvažuje stav kybernetickej bezpečnosti

Tu na vpnMentor veríme, že kybernetická bezpečnosť je prioritou, nie dodatočným nápadom. Kto je však zodpovedný za zabezpečenie vašich informácií, keď ich zdieľate online - vy alebo spoločnosť, s ktorou ich zdieľate?

Mal som príležitosť hovoriť s Seanom Wrightom, jedným z popredných odborníkov Spojeného kráľovstva v oblasti informačnej bezpečnosti a vedúcim kapitoly v projekte Open Web Application Security Project (OWASP) v Škótsku..

Expert zvažuje stav kybernetickej bezpečnosti
Logo OWASP

Aké je vaše pozadie a ako ste začali v kybernetickej bezpečnosti?

Som jedným z vedúcich predstaviteľov kapitoly OWASP Scotland a pracujem pre veľkú spoločnosť v ich inžinierskom oddelení. Zodpovedám za online bezpečnostné aplikácie, bezpečný vývoj aplikácií, kontrolu dokumentácie a za to sa primárne zameriavam.

Vo svojom vlastnom čase robím trochu výskumu a interakcie na projektoch zameraných na kybernetickú bezpečnosť. Začal som sa hádať s vecami na strane, ale spočiatku nebolo veľa čo sa týka pracovných miest v kybernetickom zabezpečení - ani to nebolo moje skúsenosti. Takže som bol vývojárom mnoho rokov. Potom som dostal ponuku v mojej súčasnej spoločnosti ako vývojár, ktorý pôsobil ako akýsi odrazový mostík pre vstup do bezpečnosti.

Pracujete na diaľku. Aké sú podľa teba výzvy? Ako zabezpečíte svoje zariadenia mimo kancelárie?

Pokiaľ ide o samotnú prácu, naša spoločnosť poskytuje všetko, čo potrebujem. Neviem všetky podrobnosti, jednoducho to nechám na nich - pretože mám nad tým aj nad tým, čo leží mimo mojich zodpovedností, malú kontrolu..

Pokiaľ ide o moje osobné veci, mám trochu paranoidy. Používam AlienVault (ich bezplatná verzia) a ďalšie úrovne zabezpečenia, napríklad Pi-Hole. Jedinou vecou, ​​ktorú si nedokážem zaistiť, je môj smerovač z dôvodu môjho poskytovateľa.

Doma používam súkromnú sieť VPN spolu s protokolom ProtonVPN. Ak teda existuje nejaký problém s mojou domácou sieťou VPN, môžem na ňu len prejsť. Pri cestovaní existujú veci ako BitDefender, ale v skutočnosti používam hlavne Linux, keď som preč.

Povedali by ste, že sieť VPN pokryje väčšinu problémov s kybernetickou bezpečnosťou, keď nie sú doma?

Jo. Jedna z vecí, ktorá je strašidelná, je to, že som v hotelovej hale raz použil ananás WiFi. Ani som sa nesnažil falšovať žiadne siete - práve som si nastavoval prístupový bod pre svoju vlastnú potrebu. A asi za päť minút sa k nemu pripojí päť klientov.

Ďalším problémom s bezdrôtovým pripojením je to, že zariadenia neustále pingujú pre bezdrôtové siete. Takže ak ste už pripojení k bezplatnému a otvorenému hotspotu, vaše zariadenie sa bude neustále pingovať a pokúsiť sa k nemu pripojiť. Ak máte niečo ako WiFi ananás, môže automaticky nastaviť spoofed bezdrôtový hotspot. Ako používateľ pripojený k verejnej sieti by ste pravdepodobne chceli používať VPN - a potom by sa tým smerovala vaša prevádzka.

Povedzme, že ste pripojení k jednému z týchto spoof-hotspotov, ale na svojom zariadení používate VPN. Chráni vás to alebo vás zraní?

Ak vaša prevádzka prechádza cez sieť VPN a ste pripojení k niektorému z týchto spoofed-hotspotov, všetka prevádzka bude šifrovaná. Hacker môže stále sledovať prenos, ale bude skomolený. Preto sú dôležité také veci, ako je napríklad Transport Layer Security (TLS), pretože ide o šifrovanie typu end-to-end. Takže, povedzme, nepoužívate VPN, ale používate TLS - to je tiež šifrované. Hacker by nemohol z prenášaných údajov nič urobiť.

To, čo by ste povedali, je najväčšie riziko, ktoré vidíte pri moderných počítačových hrozbách?

Najväčší potenciál pre chybné systémy je podľa mňa v nastavení a údržbe databáz. V minulosti bolo takmer všetko hostené lokálne (v rámci dátového centra organizácie), a to aj v prípade, že ste si za tým účelom nastavili konfiguráciu, pravdepodobnosť zverejnenia akýchkoľvek údajov bola nepravdepodobná.

Keď budete mať cloud, môžete sa rýchlo posunúť dopredu, aby ste videli znova a znova, ľudia prenášajú databázy do cloudovej infraštruktúry a nenakonfigurujú ich správne. Zrazu je vaša databáza verejne prístupná. Veci ako Mongo-DB a ElasticSearch - ktoré sa z hľadiska bezpečnosti zlepšujú, ale spočiatku neboli predvolene zabezpečené.

Tieto databázy nemajú predvolenú bezpečnostnú ochranu, napríklad autentifikáciu a autorizáciu. Keď sú potom vystavené internetu, všetky údaje sú naraz prístupné verejnosti bez akejkoľvek autentifikácie. Údaje môže získať ktokoľvek s relatívne základnými technickými znalosťami. Je to také jednoduché.

Ako si myslíte, že k väčšine týchto chýb dochádza? Je to nedostatok vedomostí alebo je to dosť ľahké na to, aby ste urobili nesprávny krok?

Myslím, že je to ich nedostatok vedomostí, ale aj správa ich majetku. Znovu a znovu vidíme, že spoločnosti nevedú dobrý zoznam svojich aktív, vrátane služieb, ktoré majú k dispozícii, na ktorých portoch sú spustené veci a čo je dostupné. Ak máte silnú správu a detekciu aktív, zistili by ste, že niečo nie je správne nakonfigurované a môžete ho vyriešiť čo najskôr. Častejšie však nie je to spoločnosť, ktorá by tieto prípady našla - je to niekto iný, kto spoločnosti hovorí.

To môže byť pre spoločnosti znepokojujúce. Čo je však pre priemerného používateľa internetu najlepšia rada na to, aby sa mohol chrániť, takže aj keby boli súčasťou databázy, ktorá unikla, mohli by zmierniť možnosť hrozieb.?

Existuje niekoľko vecí, ktoré môžete urobiť. Pravidelne kontrolujte, či som bol zastavený. Je to služba, ktorá vás upozorní, keď dôjde k porušeniu vašich poverení (napr. E-mailová adresa a heslo). Nie je to vždy okamžité, ale je to určite prostriedok na zistenie, či sú vaše údaje súčasťou porušenia.

Monitorovanie kreditu je tiež veľmi užitočné, pretože mnohé porušenia by sa mohli použiť na konci dňa pre finančný zisk na konci hackera.

Ďalšia vec, ktorá môže byť pre hackerov užitočná, je použitie únikových údajov pri pokusoch o phishing. Je dôležité mať na pamäti e-maily z webových stránok, keď vás požiadajú o aktualizáciu podrobností o svojom účte alebo o opätovné zadanie hesla. Jedným z najväčších darčekov, ktoré treba hľadať, sú pravopisné chyby. Angličtina vo väčšine prípadov nie je ich rodným jazykom, takže často robia dosť zjavné gramatické chyby. Ak si nie ste istí, choďte priamo na web (namiesto kliknutia na odkaz z e-mailu zadajte adresu URL v prehliadači)..

To je veľmi dobrá praktická rada. Čo vás v súčasnosti najviac znepokojuje vo svete kybernetickej bezpečnosti a čo by ste urobili inak?

Je až príliš často to, že bezpečnosť je premyslená. Databázy by mali byť štandardne zabezpečené, a nie reaktívne. Keďže sa prípady objavujú stále v médiách, správa by sa mala dostať do popredia, že musia začať brať vážne bezpečnosť.

Ďalšia vec je, keď spoločnosti podniknú trestný čin potom, čo im výskumný pracovník niečo prezradí. Musia si uvedomiť, že to nie je kritika ich spoločnosti. Na riešení problému musia spolupracovať s výskumným pracovníkom, pretože im pomáha. Výskumník by to nemohol ľahko odpredať a predať na tmavom webe alebo čokoľvek, takže spoločnosti skutočne pomáhajú. A spoločnosť sa musí tiež ubezpečiť, že spolupracujú s výskumným pracovníkom, a aspoň im dať jednoduché poďakovanie.

Pracoval som na niekoľkých z týchto prípadov, a preto som v tejto súvislosti frustrovaný súčasným stavom. Za posledné dva roky som pravdepodobne našiel asi päť alebo šesť problémov a ešte sa ti chcem poďakovať. [smiech] Odopieranie problému nespôsobí jeho zmiznutie.

Čo robíte, keď sa nesnažíte zabezpečiť svet?

Mám rodinu, takže trávenie času s rodinou je prvoradou záležitosťou, ale neskoro som to v poslednej dobe veľmi dobre nevykonával. Musím sa na to trochu viac zamerať. Tiež chodiť na prechádzky a podobne. Niektoré online hry. Skúsil som golf a hrozne zlyhal.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me